Ho pensato di realizzare uno script, basato sul tool chkrootkit, in grado di automatizzare la ricerca di eventuali rootkit presenti sul mio server, con successivo invio di un report via email.
Per prima cosa occorre installare il suddetto tool, mediante il comando:
nightfly@nightbox:~$ sudo apt-get install chkrootkit
Una volta fatto ciò, è necessario creare il file rootkitcheck il cui contenuto dovrà essere il seguente:
#!/bin/bash
destinatario= vostro.indirizzo@email.it
logfile=/var/log/rootkit.log
ROOT_UID=0
if [ "$UID" -ne "$ROOT_UID" ];then
ERRORE1="Errore 1: Devi essere root per eseguire lo script"
echo $ERRORE1
echo "$(date) $ERRORE1" >> $logfile
exit 1
fi
chkrootkit > temp_rootkit;
cat temp_rootkit | mail -iv -s "HOME: Esito scansione rootkit" $destinatario;
rm temp_rootkit;
exit 0
Rendiamo eseguibile il file appena creato mediante il comando:
nightfly@nightbox:~$ sudo chmod +x rootkitcheck
ed infine aggiungiamo la seguente stringa a cron, in modo da effettuare la scansione ogni lunedì:
* * * * 1 root cd /home/nightfly/ & ./rootkitcheck > /dev/null 2>&1
Ed abbiamo finito.
A presto.